Novità di Windows Server 2016
Questo articolo descrive alcune delle nuove funzionalità di Windows Server 2016, in particolare quelle che più probabilmente avranno il massimo impatto sull'uso di questa versione.
Calcolo
L'area Virtualizzazione include funzionalità e prodotti di virtualizzazione che permettono ai professionisti IT di progettare, distribuire e gestire Windows Server.
Generale
Le macchine fisiche e virtuali sfruttano una maggiore precisione nella sincronizzazione grazie ai miglioramenti introdotti nei servizi Sincronizzazione ora di Win32 e Hyper-V. Windows Server può ora ospitare servizi conformi alle norme future che richiedono un'accuratezza di 1 ms per quanto riguarda l'ora UTC.
Hyper-V
Virtualizzazione rete Hyper-V (HNV) è un blocco predefinito fondamentale della soluzione SDN (Software Defined Networking) aggiornata di Microsoft ed è completamente integrato nello stack SDN. Windows Server 2016 include le modifiche seguenti per Hyper-V:
Windows Server 2016 include ora uno switch Hyper-V programmabile. Il controller di rete di Microsoft esegue il push dei criteri HNV in un agente host in esecuzione in ogni host usando il protocollo Open vSwitch Database Management Protocol (OVSDB) come SouthBound Interface (SBI). L'agente host archivia questo criterio usando una personalizzazione dello schema VTEP e programma le regole di flusso complesse in un motore di flusso efficiente nel commutatore Hyper-V. Il motore di flusso nello switch Hyper-V è quello usato da Azure. Anche l'intero stack SDN fino al controller di rete e al provider di risorse di rete è coerente con Azure, pertanto è in grado di offrire prestazioni paragonabili al cloud pubblico di Azure. All'interno del motore di flusso di Microsoft, lo switch Hyper-V è in grado di gestire sia le regole del flusso senza stato sia quelle con stato attraverso un semplice meccanismo di corrispondenza che definisce il modo in cui i pacchetti devono essere elaborati all'interno dello switch.
HNV supporta ora l'incapsulamento del protocollo Virtual eXtensible Local Area Network (VXLAN). HNV usa il protocollo VXLAN in modalità distribuzione MAC attraverso il controller di rete Microsoft per eseguire il mapping degli indirizzi IP di rete massimi agli indirizzi IP di rete minimi fisici. Gli offload delle attività NVGRE e VXLAN supportano driver di terze parti per prestazioni migliorate.
Windows Server 2016 include un servizio di bilanciamento del carico software con supporto completo per il traffico di rete virtuale e l'interazione senza problemi con HNV. Il motore del flusso performante implementa SLB nel v-Switch del piano dati, quindi il controller di rete lo controlla per i mapping di IP virtuali (VIP) o IP dinamici (DIP).
HNV implementa le intestazioni Ethernet L2 corrette per garantire l'interoperabilità con appliance virtuali e fisiche di terze parti che dipendono dai protocolli standard del settore. Microsoft garantisce che tutti i pacchetti trasmessi abbiano valori conformi in tutti i campi per garantire interoperabilità. HNV richiede il supporto per i frame Jumbo (MTU > 1780) nella rete L2 fisica per tenere conto del sovraccarico dei pacchetti introdotto dai protocolli di incapsulamento come NVGRE e VXLAN. Il supporto per i frame Jumbo garantisce che le Macchine virtuali guest collegate a una rete virtuale HNV mantengano una MTU 1514.
Il supporto per i contenitori Windows aggiunge miglioramenti in termini di prestazioni, una gestione di rete semplificata e il supporto per contenitori Windows in Windows 10. Per altre informazioni, vedere Contenitori: Docker, Windows e Tendenze.
Nano Server
Novità di Nano Server. Nano Server include ora un modulo aggiornato per la creazione di immagini di Nano Server, in grado di offrire una maggiore separazione dell'host fisico e delle macchine virtuali guest, oltre al supporto per le diverse edizioni di Windows Server.
Sono anche stati apportati miglioramenti alla Console di ripristino di emergenza, incluse la separazione delle regole del firewall in entrata e in uscita e la possibilità di riparare la configurazione WinRM.
Macchine virtuali schermate
Windows Server 2016 offre una nuova macchina virtuale schermata basata su Hyper-V per proteggere le macchine virtuali di seconda generazione da un'infrastruttura compromessa. Tra le funzionalità introdotte in Windows Server 2016 sono incluse le seguenti:
Una nuova modalità Crittografia supportata che offre protezioni aggiuntive rispetto a una normale macchina virtuale, ma meno rispetto alla modalità Schermata, supportando comunque vTPM, la crittografia del disco, la crittografia del traffico di Live Migration e altre funzionalità, tra cui i vantaggi dell'amministrazione diretta dell'infrastruttura, ad esempio le connessioni alla console della macchina virtuale e PowerShell Direct.
Supporto completo per la conversione di macchine virtuali di seconda generazione non schermate in macchine virtuali schermate, includa la crittografia automatica del disco.
Hyper-V Virtual Machine Manager può ora visualizzare le infrastrutture in cui una macchina virtuale schermata può essere eseguita, offrendo così l'opportunità per l'amministratore dell'infrastruttura di aprire la protezione con chiave della macchina virtuale schermata e di visualizzare le infrastrutture in cui l'esecuzione della macchina è autorizzata.
È possibile alternare le modalità Attestazione in un servizio Sorveglianza Host in esecuzione. È ora possibile passare in tempo reale dall'attestazione basata su Active Directory meno sicura, ma più semplice all'attestazione basata su TPM, e viceversa.
Strumenti di diagnostica end-to-end basati su Windows PowerShell che sono in grado di rilevare errori o problemi di configurazione sia negli host Hyper-V protetti che nel servizio Sorveglianza host.
Un ambiente di ripristino che offre un modo per risolvere i problemi in modo sicuro e ripristinare le macchine virtuali schermate all'interno dell'infrastruttura in cui vengono normalmente eseguite, offrendo lo stesso livello di protezione della macchina virtuale schermata stessa.
Supporto del servizio Sorveglianza host per un'istanza sicura esistente di Active Directory. È possibile indicare al servizio Sorveglianza host di usare una foresta di Active Directory esistente anziché creare una specifica istanza di Active Directory.
Per altre informazioni e istruzioni per l'uso di macchine virtuali schermate, vedere Infrastruttura sorvegliata e macchine virtuali schermate.
Identità e accesso
Le nuove funzionalità di Identità migliorano la capacità delle organizzazioni di proteggere gli ambienti Active Directory e consentono di eseguire la migrazione a distribuzioni solo cloud e ibride, in cui alcune applicazioni e alcuni servizi sono ospitati nel cloud e altri sono ospitati in locale.
Servizi certificati Active Directory
Servizi certificati Active Directory (AD CS) in Windows Server 2016 aumenta il supporto per l'attestazione della chiave TPM. È ora possibile usare il provider di archiviazione chiavi per smart card per l'attestazione della chiave, mentre i dispositivi non appartenenti al dominio possono ora usare la registrazione NDES per ottenere i certificati che possono essere attestati per le chiavi in un TPM.
Active Directory Domain Services
Active Directory Domain Services include miglioramenti che consentono alle organizzazioni di proteggere gli ambienti Active Directory e fornire una migliore esperienza nella gestione delle identità per i dispositivi aziendali e personali. Per altre informazioni, vedere What's new in Active Directory Domain Services (AD DS) in Windows Server 2016 (Novità di Active Directory Domain Services (AD DS) in Windows Server 2016).
Active Directory Federation Services
Active Directory Federation Services (AD FS) in Windows Server 2016 include nuove funzionalità che consentono di configurare AD FS per l'autenticazione degli utenti archiviati nelle directory LDAP (Lightweight Directory Access Protocol). Per altre informazioni, vedi Novità di AD FS per Windows Server 2016.
Proxy applicazione Web
L'ultima versione di Proxy applicazione Web è incentrata sulle nuove funzionalità che permettono la pubblicazione e la preautenticazione per più applicazioni e un'esperienza utente migliorata. Consultare l'elenco completo delle nuove funzionalità che include la preautenticazione per applicazioni rich client quali domini di Exchange ActiveSync e con caratteri jolly per la pubblicazione più semplice di applicazioni SharePoint. Per altre informazioni, vedi Proxy applicazione Web in Windows Server 2016.
Amministrazione
L'area Gestione e automazione è incentrata sulle informazioni di riferimento e sugli strumenti per i professionisti IT che vogliono eseguire e gestire Windows Server 2016, incluso Windows PowerShell.
Windows PowerShell 5.1 include nuove funzionalità significative, tra cui il supporto per lo sviluppo con le classi e nuove funzionalità di sicurezza che ne estendono e migliorano l'usabilità, oltre a permettere di controllare e gestire gli ambienti basati su Windows in modo più semplice e completo. Per i dettagli, vedi Nuovi scenari e funzionalità in WMF 5.1.
Le nuove funzionalità aggiunte per Windows Server 2016 includono la possibilità di eseguire PowerShell.exe in locale su Nano Server (non più solo in remoto), i nuovi cmdlet per utenti e gruppi locali che sostituiscono l'interfaccia utente grafica, il supporto per il debug di PowerShell e il supporto per la registrazione di protezione, la trascrizione e la tecnologia JEA (Just Enough Administration) in Nano Server.
Ecco alcune delle altre nuove funzionalità di amministrazione:
Configurazione dello stato desiderato tramite PowerShell in Windows Management Framework (WMF) 5
Windows Management Framework 5 include gli aggiornamenti per Configurazione dello stato desiderato tramite PowerShell, Gestione remota Windows (WinRM) e Strumentazione gestione Windows (WMI).
Per altre informazioni sull'esecuzione dei test delle funzionalità DSC di Windows Management Framework 5, vedi la serie di post di blog descritti nella pagina relativa alla convalida delle funzionalità DSC di PowerShell. Per il download, vedi Windows Management Framework 5.1.
Gestione unificata dei pacchetti PackageManagement per l'individuazione, l'installazione e l'inventario di prodotti software
Windows Server 2016 e Windows 10 includono una nuova funzionalità PackageManagement (denominata in precedenza OneGet) che consente ai professionisti IT o DevOps di automatizzare l'individuazione, l'installazione e l'inventario dei prodotti software, localmente o in remoto, indipendentemente dalla tecnologia di installazione e dalla posizione del software.
Per altre informazioni, vedi https://github.com/OneGet/oneget/wiki.
Miglioramenti di PowerShell a supporto dell'informatica forense e per consentire di ridurre le violazioni della sicurezza
Per aiutare il team responsabile dell'analisi dei sistemi compromessi, talvolta definito "blue team", sono state aggiunte a PowerShell opzioni di registrazione e di informatica forense e sono state aggiunte funzionalità per ridurre le vulnerabilità degli script, ad esempio PowerShell vincolato e API CodeGeneration sicure.
Per altre informazioni, vedere il post di blog PowerShell ♥ the Blue Team.
Rete
L'area delle funzionalità di rete è incentrata sui prodotti e sulle funzionalità di rete che i professionisti IT possono usare per la progettazione, la distribuzione e la manutenzione di Windows Server 2016.
rete definita tramite software
È ora possibile eseguire il mirroring e instradare il traffico verso appliance virtuali nuove o esistenti. Insieme a un firewall distribuito e ai gruppi di sicurezza di rete, consente di effettuare la segmentazione in modo dinamico e proteggere i carichi di lavoro in modo analogo ad Azure. In secondo luogo, è possibile distribuire e gestire tutto lo stack di SDN (Software Defined Networking) utilizzando System Center Virtual Machine Manager. Infine, è possibile usare Docker per gestire la rete di contenitori di Windows Server e associare i criteri di SDN non solo alle macchine virtuali ma anche ai contenitori. Per altre informazioni, vedi Pianificare un'infrastruttura Software Defined Network.
Miglioramenti delle prestazioni delle connessioni TCP
Il valore predefinito di ICW (Initial Congestion Window) è stato aumentato da 4 a 10 ed è stato implementato TFO (TCP Fast Open). TFO riduce la quantità di tempo necessaria per stabilire una connessione TCP e il valore incrementato di ICW consente il trasferimento di oggetti di maggiori dimensioni nel burst iniziale. Questa combinazione può ridurre notevolmente il tempo necessario per trasferire un oggetto Internet tra il client e il cloud.
Per migliorare il comportamento di TCP durante il ripristino da una perdita di pacchetti, sono state implementate le funzionalità TLP (TCP Tail Loss Probe) e RACK (Recent Acknowledgment). TLP consente di convertire il timeout di ritrasmissione (RTO) in ripristini veloci e RACK riduce il tempo necessario per il ripristino rapido per ritrasmettere un pacchetto perso.
Sicurezza e controllo
L'area Sicurezza e controllo include funzionalità e soluzioni di per i professionisti IT da distribuire nel data center e nell'ambiente cloud. Per informazioni generali sulla sicurezza in Windows Server 2016, vedere Sicurezza e controllo.
JEA
JEA (Just Enough Administration) in Windows Server 2016 è una tecnologia di protezione che consente l'amministrazione delegata per qualsiasi elemento che può essere gestito con Windows PowerShell. Le funzionalità includono il supporto per l'esecuzione in un'identità di rete, la connessione tramite PowerShell Direct, la copia sicura dei file da o verso gli endpoint JEA e la configurazione della console di PowerShell in modo da poterla avviare per impostazione predefinita in un contesto JEA. Per ulteriori dettagli, vedere JEA on GitHub (JEA su GitHub).
Credential Guard
Credential Guard usa la protezione basata su virtualizzazione per isolare i segreti in modo che solo il software di sistema con privilegi possa accedervi. Vedere Proteggere le credenziali di dominio derivate con Credential Guard.
Remote Credential Guard
Credential Guard include il supporto per le sessioni RDP in modo che le credenziali utente rimangano sul lato client e non siano esposte sul lato server. Include inoltre la funzionalità Single Sign-On per Desktop remoto. Vedi Proteggere le credenziali di dominio derivate con Windows Defender Credential Guard.
Device Guard (integrità del codice)
Device Guard garantisce l'integrità del codice in modalità kernel (KMCI, Kernel Mode Code Integrity) e in modalità utente (UMCI, User Mode Code Integrity) mediante la creazione di criteri che specificano quale codice può essere eseguito sul server. Vedi Introduzione a Windows Defender Device Guard: sicurezza basata su virtualizzazione e criteri di integrità del codice.
Windows Defender
Panoramica di Windows Defender per Windows Server 2016. Windows Server Antimalware è installato e abilitato per impostazione predefinita in Windows Server 2016, ma l'interfaccia utente per Windows Server Antimalware non è installata. Tuttavia, Windows Server Antimalware aggiorna le definizioni antimalware e protegge il computer senza l'interfaccia utente. Se è necessaria l'interfaccia utente per Windows Server Antimalware, è possibile installarla dopo l'installazione del sistema operativo usando l'aggiunta guidata ruoli e funzionalità.
Protezione del flusso di controllo
Questa funzionalità di protezione della piattaforma è stata creata per contrastare le vulnerabilità legate al danneggiamento della memoria. Per altre informazioni, vedere Control Flow Guard (Protezione del flusso di controllo).
Storage
La tecnologia di archiviazione di Windows Server 2016 include nuove funzionalità e miglioramenti per l'archiviazione software-defined e per i file server tradizionali. Di seguito sono riportate alcune delle nuove funzionalità. Per informazioni su altri miglioramenti e per altri dettagli, vedere Novità di Archiviazione in Windows Server 2016.
Spazi di archiviazione diretta
Spazi di archiviazione diretta consente di creare un'archiviazione altamente disponibile e scalabile con server di archiviazione locale. Questa funzionalità semplifica la distribuzione e la gestione dei sistemi con archiviazione definita dal software e consente l'uso di nuove classi di dispositivi disco, ad esempio le unità SSD SATA e NVMe, che in precedenza non erano disponibili con spazi di archiviazione raggruppati in cluster che includevano i dischi condivisi.
Per altre informazioni, vedere Spazi di archiviazione diretta.
Replica archiviazione
Replica di archiviazione consente di eseguire la replica sincrona a livello di blocco, indipendente dall'archiviazione, tra server o cluster per il ripristino di emergenza e l'estensione di un cluster di failover tra siti. La replica sincrona consente il mirroring dei dati in siti fisici con volumi coerenti per arresto anomalo del sistema senza perdere dati a livello di file system. La replica asincrona consente l'estensione del sito oltre le aree metropolitane con la possibilità di perdita di dati.
Per altre informazioni, vedere Replica di archiviazione.
QoS di archiviazione
È ora possibile usare Qualità del servizio (QoS) di archiviazione per monitorare in modo centralizzato le prestazioni di archiviazione end-to-end e creare criteri di gestione usando cluster Hyper-V e CSV in Windows Server 2016.
Per altre informazioni, vedere Storage Quality of Service (QoS di archiviazione).
Clustering di failover
Windows Server 2016 include molte nuove funzionalità e miglioramenti per più server raggruppati in un unico cluster a tolleranza di errore mediante la funzione Clustering di failover. Alcune delle funzionalità aggiunte sono elencate di seguito. Per un elenco completo, vedere Novità del clustering di failover in Windows Server 2016.
Aggiornamento in sequenza del sistema operativo del cluster
L'aggiornamento in sequenza del sistema operativo del cluster consente a un amministratore di aggiornare il sistema operativo dei nodi del cluster da Windows Server 2012 R2 a Windows Server 2016 senza interrompere i carichi di lavoro del file server di scalabilità orizzontale o di Hyper-V. Usando questa funzionalità, è possibile evitare le sanzioni per il tempo di inattività previste dai contratti di servizio.
Per altre informazioni, vedere Aggiornamento in sequenza del sistema operativo del cluster.
Cloud di controllo
Cloud di controllo è un nuovo tipo di quorum di controllo per un cluster di failover in Windows Server 2016 che si basa su Microsoft Azure come punto di arbitraggio. Cloud di controllo, come altri quorum di controllo, ottiene un voto e può partecipare ai calcoli del quorum. È possibile configurare questa funzionalità come quorum di controllo usando la Configurazione guidata quorum del cluster.
Per altre informazioni, vedere Deploy Cloud Witness (Distribuire un cloud di controllo).
Servizio integrità
Il Servizio integrità migliora le attività giornaliere di monitoraggio, esecuzione e manutenzione delle risorse in un cluster di Spazi di archiviazione diretta.
Per altre informazioni, vedere Servizio integrità.
Sviluppo di applicazioni
Internet Information Services (IIS) 10.0
Le nuove funzionalità fornite dal server Web IIS 10.0 in Windows Server 2016 includono:
- Supporto per il protocollo HTTP/2 nello stack di rete e integrato con IIS 10.0. In questo modo i siti Web IIS 10.0 possono gestire automaticamente le richieste HTTP/2 per le configurazioni supportate. Ciò permette numerosi miglioramenti rispetto a HTTP/1.1, ad esempio un riutilizzo delle connessioni più efficiente e una latenza ridotta, migliorando i tempi di caricamento delle pagine Web.
- Possibilità di eseguire e gestire IIS 10.0 in Nano Server. Vedi IIS in Nano Server.
- Supporto per le intestazioni host con caratteri jolly, che permette agli amministratori di configurare un server Web per un dominio e quindi impostare il server Web in modo che gestisca le richieste di qualsiasi sottodominio.
- Un nuovo modulo di PowerShell (IISAdministration) per la gestione di IIS.
Per altri dettagli, vedi IIS.
Distributed Transaction Coordinator (MSDTC)
Sono state aggiunte tre nuove funzionalità in Microsoft Windows 10 e Windows Server 2016:
Una nuova interfaccia per la funzione Rejoin di Gestione risorse è utilizzabile da un gestore delle risorse per determinare il risultato di una transazione in dubbio dopo il riavvio di un database a causa di un errore. Vedi IResourceManagerRejoinable::Rejoin per informazioni dettagliate.
Il limite per i nomi DSN è stato aumentato da 256 byte a 3072 byte. Per i dettagli, vedi IDtcToXaHelperFactory::Create, IDtcToXaHelperSinglePipe::XARMCreate o IDtcToXaMapper::RequestNewResourceManager.
La funzione di traccia migliorata ti permette di impostare una chiave del Registro di sistema per includere un percorso di file di immagine nel nome del file del Registro di traccia in modo da indicare quale file del Registro di traccia controllare. Vedi Come abilitare la traccia di diagnostica per MS DTC in un computer basato su Windows per informazioni dettagliate sulla configurazione della traccia per MSDTC.
Server DNS.
Windows Server 2016 contiene gli aggiornamenti seguenti per il server DNS (Domain Name System).
Criteri DNS
È possibile configurare criteri DNS per specificare come un server DNS risponde alle query DNS. Puoi configurare le risposte DNS in base all'indirizzo IP del client, all'ora del giorno e a molti altri parametri. I criteri DNS possono abilitare il DNS con riconoscimento della posizione, la gestione del traffico, il bilanciamento del carico, il DNS split brain e altri scenari. Per altre informazioni, vedere la Guida allo scenario dei criteri DNS.
RRL
Puoi abilitare la limitazione della velocità di risposta (RRL) nei server DNS per impedire ai sistemi dannosi di usare i server DNS per avviare un attacco Distributed Denial of Service (DDoS) su un client DNS. RRL impedisce al server DNS di rispondere contemporaneamente a troppe richieste, proteggendolo negli scenari in cui una botnet invia più richieste contemporaneamente per tentare di bloccare le operazioni del server.
Supporto DANE
Puoi usare il supporto DANE (DNS-based Authentication of Named Entities) (RFC 6394 e RFC 6698) per specificare l'autorità di certificazione da cui i client DNS devono aspettarsi i certificati per i nomi di dominio ospitati nel server DNS. In questo modo, si evita una forma di attacco man-in-the-middle in cui un utente malintenzionato danneggia una cache DNS e indirizza un nome DNS al proprio indirizzo IP.
Supporto di record sconosciuto
Puoi aggiungere record che il server DNS non supporta in modo esplicito usando la funzionalità record sconosciuti. Un record è sconosciuto quando il server DNS non riconosce il formato RDATA. Windows Server 2016 supporta i tipi di record sconosciuti (RFC 3597) per poter aggiungere record sconosciuti alle zone del server DNS di Windows in formato on-wire binario. Il resolver della cache di Windows è già in grado di elaborare tipi di record sconosciuti. Il server DNS di Windows non esegue l'elaborazione specifica di record sconosciuti, ma può inviarli in risposta alle query ricevute.
Parametri radice IPv6
Il server DNS di Windows include ora i parametri radice IPv6 pubblicati dall'Internet Assigned Numbers Authority (IANA). Il supporto per i parametri radice IPv6 consente di eseguire query Internet che usano i server principali IPv6 per eseguire le risoluzioni dei nomi.
Supporto di Windows PowerShell
Windows Server 2016 include nuovi comandi che è possibile usare per configurare DNS in PowerShell. Per altre informazioni, vedi il modulo DnsServer di Windows Server 2016 e il modulo DnsClient di Windows Server 2016.
Client DNS
Il servizio client DNS offre ora il supporto avanzato per i computer con più di un'interfaccia di rete.
I computer multihomed possono anche usare l'associazione al servizio client DNS per migliorare la risoluzione del server:
Quando si usa un server DNS configurato su un'interfaccia specifica per risolvere una query DNS, il client DNS si associa all'interfaccia prima di inviare la query. Questa associazione consente al client DNS di specificare l'interfaccia in cui deve essere eseguita la risoluzione dei nomi, ottimizzando la comunicazione tra le applicazioni e il client DNS tramite l'interfaccia di rete.
Se il server DNS che si usa è stato definito da un'impostazione Criteri di gruppo dalla tabella dei criteri di risoluzione dei nomi (NRPT), il servizio client DNS non viene associato all'interfaccia specificata.
Nota
Modifiche al servizio client DNS in Windows 10 sono anche presenti nei computer che eseguono Windows Server 2016 e versioni successive.